沈鑫剡编著(网络安全)教材配套课件第12章.pptxVIP

? 2006工程兵工程学院计算机教研室网络安全第十二章 入侵防御系统第12章 入侵检测系统计算机网络安全本章主要内容IDS概述；网络入侵检测系统；主机入侵检测系统。 入侵防御系统12.1 IDS概述计算机网络安全本讲主要内容入侵定义和手段；引出IDS的原因；入侵检测系统通用框架结构；入侵检测系统的两种应用方式；IDS分类；入侵检测系统工作过程；入侵检测系统不足；入侵检测系统发展趋势；入侵检测系统的评价指标。 入侵防御系统一、入侵定义和手段计算机网络安全所有破坏网络可用性、保密性和完整性的行为都是入侵。目前黑客的入侵手段主要有恶意代码、非法访问和拒绝服务攻击等。 入侵防御系统二、引出IDS的原因计算机网络安全无法防御以下攻击过程 内部网络终端遭受的 XSS攻击；内部网络蔓延蠕虫病毒； 内部网络终端发送垃圾邮件。 入侵防御系统二、引出IDS的原因计算机网络安全引入入侵检测系统（IDS），IDS可以获取流经内部网络中和非军事区中的关键链路的信息，能够对这些信息进行检测，发现包含在这些信息 中与实施上述攻击过程有关的有害信息，并予以 反制。 入侵防御系统三、入侵检测系统通用框架结构计算机网络安全 入侵防御系统三、入侵检测系统通用框架结构计算机网络安全事件发生器通用框架统一将需要入侵检测系统分析的数据称为事件，事件发生器的功能是提供事件。事件分析器事件分析器根据事件数据库中的入侵特征描述、用户历史行为模型等信息，对事件发生器提供的事件进行分析，得出事件是否合法的结论。响应单元响应单元是根据事件分析器的分析结果做出反应的单元。 4．事件数据库事件数据库中存储用于作为判别事件是否合法的依据的信息。 入侵防御系统四、入侵检测系统的两种应用方式在线方式计算机网络安全杂凑方式在线方式下，IDS位于关键链路的中间，所以经过该关键链路传输的信息必须经过IDS。杂凑方式下，IDS不会影响信息流在关键链路的传输过程，只是被动地获取信息，对获取的信息进行检测。 入侵防御系统五、IDS分类入侵防御系统分为主机入侵防御系统和网络入侵防御系统； 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源； 网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源；主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。计算机网络安全 入侵防御系统六、入侵检测系统工作过程网络入侵检测系统工作过程捕获信息；检测异常信息；反制异常信息；报警；登记。得到流经关键网段的信息流。异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。反制是丢弃与异常信息具有相同源IP地址，或者相同目的IP地址的IP分组，释放传输异常信息的TCP连接等。向网络安全管理员报告检测到异常信息流的情况，异常信息流的特征、源和目的IP地址，可能实施的攻击等。记录下有关异常信息流的一切信息，以便对其进行分析。计算机网络安全 入侵防御系统六、入侵检测系统工作过程在线方式下，网络入侵检测系统（NIDS）捕获内网和外网之间传输的信息的过程；杂凑方式下，网络入侵检测系统（NIDS）捕获终端和服务器间传输的信息的过程。计算机网络安全 入侵防御系统主机入侵检测系统工作过程拦截主机资源访问操作请求和网络信息流；采集相应数据；确定操作请求和网络信息流的合法性；反制动作；登记和分析。主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。六、入侵检测系统工作过程计算机网络安全 入侵防御系统七、入侵检测系统不足计算机网络安全 主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足； 网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。 入侵防御系统八、入侵检测系统发展趋势计算机网络安全融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。集成到网络转发设备中所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。 入侵防御系统九、入侵检测系统的评价指标计算机网络安全１．正确性正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。全面性全面性要求入侵检测系统减少漏报，漏报与误